Gerenciamento e Correlação de Eventos de Segurança

Origem: Wikipédia, a enciclopédia livre.
Ir para: navegação, pesquisa

Do Inglês SIEM (Security Information and Event Management) é uma solução de Software que combina SIM (Security information management) e SEM (Security event manager) .

Uma solução SIEM permite que os eventos gerados por diversas aplicações de segurança (tais como firewalls, proxies, sistemas de prevenção a intrusão (IPS) e antivírus sejam coletados, normalizados, armazenados e correlacionados; o que possibilita uma rápida identificação e resposta aos incidentes.

Enquanto ferramentas SEM oferecem monitoramento em tempo real dos eventos de segurança, coletando e agregando os dados (com resposta automática em alguns casos); uma ferramenta SIM oferece análise histórica dos eventos de segurança, também coletando e correlacionando os eventos, porém não em tempo real; o que permite consultas mais complexas ao repositório.

As soluções SIEM combinam os recursos oferecidos em ambas as tecnologias (SIM e SEM).

O termo foi cunhado em 2005 por Mark Nicolett e Amrit Williams da Gartner,[1] descrevendo um produto capaz de coletar, analisar e apresentar informações dos dispositivos de segurança de rede; softwares de controle de acesso; gerenciamento de vulnerabilidades; ferramentas de conformidade; logs de sistema operacional, banco de dados e aplicações; e por último, dados de ameaças externas.

Até Outubro de 2013, [2] o site Mosaic Security Research listava 86 soluções SIEM, equanto a Gartner,[1] listava apenas 15 vendors em seu Magic Quadrant.

O Problema[editar | editar código-fonte]

Do ponto de vista do gerenciamento de segurança da informação, observa-se :

  • A “Inundação” de logs, eventos e outras informações relativas às atividades monitoradas pelas soluções de segurança e do próprio funcionamento interno das mesmas;
  • Existência de ilhas de defesa, onde cada solução específica trabalha de forma isolada;
  • Consoles heterogêneas de monitoração, que oferecem visões isoladas sobre o estado de segurança do ambiente e requerem especialistas para sua utilização e interpretação dos dados, além da dificuldade de relacionar os eventos reportados pelas diferentes soluções;
  • Alta taxa de falsos positivos, decorrente das análises isoladas pelas soluções, as quais não possuem visão de todo o ambiente;
  • Crescente número de regulamentações, padronizações, normas, políticas e processos de auditorias, externas ou internas, obrigam cada vez mais as empresas a reportarem o devido cuidado com relação à segurança da informação e provar conformidade.


A Solução SIEM[editar | editar código-fonte]

Com base nos problemas citados, uma solução SIEM tenta atender com as seguintes características:

  • Acesso em tempo real, centralizado e consistente a todos os logs e eventos de segurança, independente do tipo de tecnologia e fabricante;
  • Correlação de logs de tecnologias heterôgeneas, conectando atributos comuns e/ou significativos entre as fontes, de modo a transformar os dados em informação útil;
  • Identificação de comportamentos, incidentes, fraudes, anomalias e quebras de baseline;
  • Alertas e notificações que podem ser disparadas automaticamente no caso de não conformidade com as políticas de segurança e/ou normas regulatórias, ou ainda, de acordo com as regras de negócio pré-estabelecidas;
  • Emissão de relatórios sofisticados sobre as condições de segurança do ambiente para equipes de SOC (Security Operations Center[1]), auditoria ou resposta a incidentes;
  • Retenção e indexação a longo prazo dos dados possibilitando posterior análise forense;

Ver também[editar | editar código-fonte]

Portal A Wikipédia possui o portal:
Wikilivros
O Wikilivros tem um livro chamado Segurança da Informação
  • Security information and event management [2]
  • Security event manager [3]
  • Security information management [4]

Referências[editar | editar código-fonte]